WINDOWS操作系统安全配置手册目录WINDOWS操作系统安全配置手册.......................................................................................11概述...................................................................................................................................2适用范围...............................................................................................................................22WINDOWS设备安全配置要求............................................................................................22.1账号管理、认证授权................................................................................................22.2口令............................................................................................................................32.3授权............................................................................................................................52.4日志配置操作............................................................................................................82.5IP协议安全配置操作.............................................................................................132.6设备其他配置操作..................................................................................................132.7共享文件夹及访问权限..........................................................................................142.8补丁管理..................................................................................................................162.9防病毒管理..............................................................................................................162.10Windows服务..........................................................................................................172.11启动项......................................................................................................................171概述适用范围本规范所指的设备为Windows系统设备。本规范明确了运行Windows操作系统的设备在安全配置方面的基本要求。在未特别说明的情况下,均适用于所有运行的Windows操作系统。2WINDOWS设备安全配置要求本手册从Windows系统设备的认证授权功能、安全日志功能以及IP网络安全功能,和其他自身安全配置功能四个方面提出安全要求。2.1账号管理、认证授权认证功能用于确认登录系统的用户真实身份。认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作权限,并限制用户进行超越其账号权限的操作。要求内容按照用户分配账号。根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户等。操作指南1、参考配置操作进入“控制面板-管理工具-计算机管理”,在“系统工具-本地用户和组”:根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户。检测方法1、判定条件结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户。2、检测操作进入“控制面板-管理工具-计算机管理”,在“系统工具-本地用户和组”:查看根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户。要求内容对于管理员帐号,要求更改缺省帐户名称;禁用guest(来宾)帐号。操作指南1、参考配置操作进入“控制面板-管理工具-计算机管理”,在“系统工具-本地用户和组”:Administrator-属性-更改名称Guest帐号-属性-已停用检测方法1、判定条件缺省账户Administrator名称已更改。Guest帐号已停用。2、检测操作进入“控制面板-管理工具-计算机管理”,在“系统工具-本地用户和组”:缺省帐户-属性-更改名称Guest帐号-属性-已停用2.2口令要求内容最短密码长度8个字符,启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的三种:英语大写字母A,B,C,…Z英语小写字母a,b,c,…z西方阿拉伯数字0,1,2,…9非字母数字字符,如标点符号,@,#,$,%,&,*等操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略”:“密码必须符合复杂性要求”选择“已启动”检测方法1、判定条件“密码必须符合复杂性要求”选择“已启动”2、检测操作进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略”:查看是否“密码必须符合复杂性要求”选择“已启动”要求内容对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略”:“密码最长存留期”设置为“90天”检测方法1、判定条件“密码最长存留期”设置为“90天”2、检测操作进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略”:查看是否“密码最长存留期”设置为“90天”要求内容对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略”:“强制密码历史”设置为“记住5个密码”检测方法1、判定条件“强制密码历史”设置为“记住5个密码”2、检测操作进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略”:查看是否“强制密码历史”设置为“记住5个密码”要求内容对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“帐户策略-帐户锁定策略”:“账户锁定阀值”设置为6次检测方法1、判定条件“账户锁定阀值”设置为小于或等于6次2、检测操作进入“控制面板-管理工具-本地安全策略”,在“帐户策略-帐户锁定策略”:查看是否“账户锁定阀值”设置为小于等于6次2.3授权要求内容在本地安全设置中从远端系统强制关机只指派给Administrators组。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”:“从远端系统强制关机”设置为“只指派给Administrators组”检测方法1、判定条件“从远端系统强制关机”设置为“只指派给Administrtors组”2、检测操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”:查看是否“从远端系统强制关机”设置为“只指派给Administrators组”要求内容在本地安全设置中关闭系统仅指派给Administrators组。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”:“关闭系统”设置为“只指派给Administrators组”检测方法1、判定条件“关闭系统”设置为“只指派给Administrators组”2、检测操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”:查看“关闭系统”设置为“只指派给Administrators组”要求内容在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”:“取得文件或其它对象的所有权”设置为“只指派给Administrators组”检测方法1、判定条件“取得文件或其它对象的所有权”设置为“只指派给Administrators组”2、检测操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”:查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组”要求内容在本地安全设置中配置指定授权用户允许本地登陆此计算机。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”“从本地登陆此计算机”设置为“指定授权用户”检测方法1、判定条件“从本地登陆此计算机”设置为“指定授权用户”2、检测操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”查看是否“从本地登陆此计算机”设置为“指定授权用户”要求内容在组策略中只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。操作指南1、参考配置操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”“从网络访问此计算机”设置为“指定授权用户”检测方法1、判定条件“从网络访问此计算机”设置为“指定授权用户”2、检测操作进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”查看是否“从网络访问此计算机”设置为“指定授权用户”2.4日志配置操作要求内容设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。操作指南1、参考配置操作开始-运行-执行“控制面板-管理工具-本地安全策略-审核策略”审核登录事件,双击,设置为成功和失败都审核。检测方法1、判定条件审核登录事件,设置为成功和失败都审核。2、检测操作开始-运行-执行“控制面板-管理工具-本地安全策略-审核策略”审核登录事件,双击,查看是否设置为成功和失败都审核。要求内容启用组策略中对Windows